S4Y Pro X4 - wegen IRC-Bot gesperrt Was nun?

[ONDevil]

Hallo,
ich betreibe schon seid Jahren einen vServer bei S4Y.

Darauf läuft Debian 4 (32-Bit) mit Plesk (aktuellste Version)
ein paar Joomla (v1.5) Seiten und seid kurzem ein Teamspeak 3

Jetzt wurde mein Server am Donnerstag Abend wegen einem angeblichen IRC-Bot gesperrt:

Sehr geehrter Kunde,

leider mussten unsere System-Administratoren den Zugriff auf den von Ihnen angemieteten Server sperren, da von diesem Server Tätigkeiten ausgegangen sind, die gegen unsere AGB verstoßen und zusätzlich ggf. eine Gefahr für unser Netzwerk oder andere Kunden bedeutet. Den entsprechenden Nachweis haben wir unter unserer Signatur angefügt.

-----------------------------------------------------------------------------
Filename: /dev/shm/.x/.f/httpd
MD5Summe: f5b1420933dc0f210a2664e23a58c039

Bottyp: EnergyMech - IRC bot - http://www.energymech.net/

Wahrscheinlicher Installationszeitpunkt: 2010-11-11T20:22:45+0100

Vollstaendige Prozessumgebung:
-----------------------------------------------------------------------------
PWD=/dev/shm/.x/.f
SHLVL=3
_=./httpd

Ich hatte in den letzten 4 Jahre keine Probleme aber nun hat es mich doch erwischt
(Habe mehrmals den Server gewechselt, vServer mal RootDS usw. ..der jetzige Pro X4 läuft erst seid 2~3mon.)

Jedenfalls habe ich jetzt nur noch eine Recovery Konsole und meine Linuxkenntnisse sind dafür nicht ausreichend!

Mit WinSCP habe ich jetzt die wichtigen Homepage files gesichert jedoch fehlen mir noch die Datenbanken.

Leider finde ich keine Möglichkeit die Datenbanken zu sichern...
Eine Recherche ergab die Funktion: "mysql dump" ..jedoch muss dazu die Datenbank noch laufen?!

ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)

Für ein Tip/alternativen währe ich sehr Dankbar.

Hätte auch Interesse an Info`s wie ich den Hack/Schädling ausfindig machen kann, Logs habe ich noch nicht alle durch....
und sonst weiss ich nicht wo ich am besten danach suchen sollte..?


Danke im vorraus
Gruß Alex

 

[its]

Hätte auch Interesse an Info`s wie ich den Hack/Schädling nachvolziehen kann.

Es gibt mehrer Möglichkeiten, entweder ist der Angreifer über eine Sicherheitslücke (z.B. kürzlich entdeckte proftpd) oder über eine RFI (remote file inclusion) oder MySQLi (MySQL Injection) auf deinen Server gekommen und hat dann die Schadsoftware (Malware) ausgeführt.

Wichtig ist, dass wenn du dir unsicher bist, du alle Webseiten sicherst und den Server re-initialisierst.

Leider finde ich keine Möglichkeit die Datenbanken zu sichern...
Eine Recherche ergab die Funktion: "mysql dump" ..jedoch muss dazu die Datenbank noch laufen?!
Zitat:
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)

Ich verstehe nicht, warum man nicht schon vorher Backups anlegt, wenn man schon Webseiten mit Datenbanken betreibt?

Du könntest freundlich fragen, ob du nochmal ein Zeitfenster von 2 Stunden bekommst zum mysql-dump erstellen. Du solltest dann aber via Firewall alle anderen Ports zu machen, damit die IRC C&C Dienste nicht mehr nach Hause telefonieren können.

Ansonsten musst du dir das Verzeichnis (im Normalfall) /var/lib/mysql/ downloaden und die Datenbanken so wiederherstellen.

 

[ONDevil]

Ich verstehe nicht, warum man nicht schon vorher Backups anlegt, wenn man schon Webseiten mit Datenbanken betreibt?

Ich hab Backup`s jedoch sind die vielleicht ein paar Tage alt.

Ist aber kein Problem mehr, ich hab die daily Backup s von Plesk gefunden da ist nicht nur das Web drin gesichert sondern auch die mySql

Werde den Server jetzt platt machen und neu einrichten.

 

[Thorsten]

MOD: Bitte keine Themen löschen auf die bereits geantwortet wurde. Danke!

 

[NacKteOmA]

Bitte nehm auch ein aktuelles OS. Debian 4 (Etch) ist bestimmt schon seit 1 oder 2 Jahren end-of-life. Nimm Debian 5 (Lenny), sonst sind ist dein System wirklich Ur-Alt (Software Versionen).

 

[schnoog]

Auf VServern von S4Y ne aktuelle Distro, bleibt wohl ein Wunschdenken, wenn man die Installimages von S4Y verwendet.
Vor einem Monat war dort noch OpenSuse 10.3 "State of the art".
6 Anfragen (innerhalb der letzten 9 Monate) wann mit neuen Images zu rechnen sei, wurden mit der Bitte um Geduld beantwortet.

Aber die Vertragskündigung ging wenigstens flott über die Bühne

 

[Lyon]

Es gibt mehrer Möglichkeiten, entweder ist der Angreifer über eine Sicherheitslücke (z.B. kürzlich entdeckte proftpd) oder über eine RFI (remote file inclusion) oder MySQLi (MySQL Injection) auf deinen Server gekommen und hat dann die Schadsoftware (Malware) ausgeführt.

Wichtig ist, dass wenn du dir unsicher bist, du alle Webseiten sicherst und den Server re-initialisierst.



Ich verstehe nicht, warum man nicht schon vorher Backups anlegt, wenn man schon Webseiten mit Datenbanken betreibt?

Du könntest freundlich fragen, ob du nochmal ein Zeitfenster von 2 Stunden bekommst zum mysql-dump erstellen. Du solltest dann aber via Firewall alle anderen Ports zu machen, damit die IRC C&C Dienste nicht mehr nach Hause telefonieren können.

Ansonsten musst du dir das Verzeichnis (im Normalfall) /var/lib/mysql/ downloaden und die Datenbanken so wiederherstellen.

Also ich muss euch mal dazu sagen mein server wurde damals auch gesperrt, das ist eine sicherheitslücke mit proftpd und da wird empfohlen das Plesk einfach mal zu Aktualisieren! Damit der Server mit wieder abgesichert wird.